análise de vulnerabilidades computacionais em repositórios digitais
TRANSCRIPT
No 56 (2014) • http://biblios.pitt.edu/ • DOI 10.5195/biblios.2014.169
Análise de vulnerabilidades computacionais em repositórios
digitais
Valdete Fernandes Belarmino
Wagner junqueira de Araújo
Universidade Federal da Paraíba – UFPB, Brasil
Resumo
Objetivo. Apresenta os resultados de pesquisa que teve como objetivo analisar as vulnerabilidades computacionais dos
diretórios digitais das universidades públicas. Destaca a relevância da informação na sociedade contemporânea como um
recurso de valor inestimável, enfatizando a informação científica como elemento essencial para constituir o progresso científico.
Caracteriza o surgimento dos Repositórios Digitais e ressalta sua utilização em meio acadêmico para preservar, divulgar,
disseminar e incentivar a produção científica. Descreve os principais softwares para a construção de repositórios digitais.
Método. A pesquisa identificou e analisou as vulnerabilidades que estão expostos os repositórios digitais institucionais em das
universidades em âmbito federal, por meio da execução de Testes de Penetração, especificando os níveis de riscos e os tipos
de vulnerabilidades.
Resultados. De uma amostra de 30 repositórios, foi possível analisar 20, sendo identificados que: 5% dos repositórios possuem
vulnerabilidades críticas, 85% altas, 25% médias e 100% baixas.
Conclusões. Evidencia a necessidade da adoção de medidas para estes ambientes que promovam a segurança dos ativos
informacionais, visando minimizar a incidência de ataques externos e/ou internos aos sistemas das instituições.
Palavras-chave
Segurança da Informação ; Repositórios digitais ; DSpace ; Informação científica ; Preservação digital ; Teste de penetração
Analysis of computational vulnerabilities in digital repositories
Abstract
Objective. Demonstrates the results of research that aimed to analyze the computational vulnerabilities of digital directories in
public Universities. Argues the relevance of information in contemporary societies like an invaluable resource, emphasizing
scientific information as an essential element to constitute scientific progress. Characterizes the emergence of Digital
Repositories and highlights its use in academic environment to preserve, promote, disseminate and encourage the scientific
production. Describes the main software for the construction of digital repositories.
Method. The investigation identified and analyzed the vulnerabilities that are exposed the digital repositories using Penetration
Testing running. Discriminating the levels of risk and the types of vulnerabilities.
Results. From a sample of 30 repositories, we could examine 20, identified that: 5% of the repositories have critical
vulnerabilities, 85% high, 25% medium and 100% lowers.
Conclusions. Which demonstrates the necessity to adapt actions for these environments that promote informational security to
minimizing the incidence of external and / or internal systems attacks.Abstract Grey Text – use bold for subheadings when
needed.
Keywords
Information Security ; Digital repositories ; DSpace ; Scientific information ; Digital preservation ; Penetration test
A N A L Y S I S
Analysis of computational vulnerabilities in digital repositories
No 56 (2014) • http://biblios.pitt.edu/ • DOI 10.5195/biblios.2014.169 2
Introdução
A informação é um bem de valor inestimável para a sociedade e um recurso absolutamente necessário para adquirir
conhecimento. O elemento fundamental para estabelecer o progresso científico, tecnológico e educacional de uma
nação é a informação científica. Esse tipo de informação é revelado à sociedade através dos periódicos científicos,
em consequência do trabalho intelectual dos pesquisadores (KURAMOTO, 2006).
No decorrer dos tempos, o avanço tecnológico e o processo de globalização possibilitaram a integração e o
compartilhamento de informações de maneira instantânea, resultando em um aumento de publicações considerado
acima do comum. A publicação de artigos em revistas científicas sustenta um ciclo produtivo que se transforma em
um recurso indispensável para o sistema de comunicação científica.
Com o crescimento exponencial bibliográfico (em suporte tradicional, o papel, e em maior escala, no formato digital)
e a facilidade na produção de novas informações em ambiente virtual, a quantidade de material eletrônico disponível
para acesso na internet é amplamente variada. Só de artigos científicos em CI, o crescimento da produção
acadêmica a partir do ano 2001 até o segundo semestre de 2013 representa aproximadamente 63%, de acordo com
dados disponíveis na Base de Dados Referencial de Artigos de Periódicos em Ciência da Informação – BRAPCI1.
Tal crescimento, foi auxiliado com o surgimento dos Repositórios Digitais (RDs), que além de artigos abrigam os
resultados de trabalhos de conclusão de curso, dissertações, teses, anais de encontros científicos, palestras etc. As
instituições acadêmicas utilizam os repositórios digitais para divulgar, disseminar, preservar e incentivar a produção
científica de sua comunidade. As tecnologias aliadas à disseminação da informação assumem um papel crucial na
sociedade do conhecimento. Por ser um componente valioso no desenvolvimento do saber do indivíduo, existe uma
preocupação coletiva com o tratamento, a preservação, a disseminação e a segurança da informação.
A construção e manutenção de repositórios digitais exigem das instituições recursos computacionais, pessoas
habilitadas e processos para a gestão. Existe um estudo que aborda a segurança em itens relativos a pessoas e
processos (LIMA; LIMA, 2012), contudo não aborda os aspectos de segurança do ambiente computacional.
Diante do exposto, surgiu a seguinte questão de pesquisa: como estão configurados os elementos de segurança da
informação no ambiente computacional dos repositórios digitais das universidades federais no Brasil?
Este artigo apresenta o resultado de pesquisa tem como objetivo geral analisar a segurança da informação no
ambiente computacional dos repositórios institucionais digitais no âmbito das universidades federais. De forma a
discutir os aspectos característicos da segurança da informação; identificar os tipos de vulnerabilidades que os
repositórios digitais estão expostos e indicar estratégias para evitar e/ou reduzir os riscos/ameaças à segurança da
informação. Para fins deste estudo entende-se como ambiente computacional os elementos de configuração de
software usados para implementar os sistemas de repositórios digitais.
1 Repositórios digitais
O Instituto Brasileiro de Informação em Ciência e Tecnologia (IBICT)2 define em sua página na internet que os
repositórios digitais (RDs) são bases de dados online que reúnem de maneira organizada a produção científica de
uma instituição ou área temática. De maneira complementar, Weitzel (2006b) especifica a divisão dos repositórios
digitais em categorias: institucionais ou temáticos. Os primeiros dizem respeito à organização e acesso à produção
científica de uma instituição, enquanto os segundos são atribuídos a uma determinada área do conhecimento.
Considerando que os repositórios possibilitam a gestão da produção intelectual científica e acadêmica em qualquer
tipo de arquivo digital, Viana, Márdero Arellano e Shintaku (2005, p. 3), completam que: “um repositório digital é uma
forma de armazenamento de objetos digitais que tem a capacidade de manter e gerenciar material por longos
períodos de tempo e prover o acesso apropriado.” Para fortalecer o conceito, Ribeiro e Vidotti (2009, p. 106),
destacam:
Os repositórios digitais trazem a ideia de preservação dos objetos digitais, além de promover o
acesso livre a conteúdos como produtos de pesquisa, entre outros. Além disso, esses repositórios
precisam ser criados tendo como necessidades dos usuários potenciais, permitindo usabilidade e
acessibilidade satisfatórias.
Análise de vulnerabilidades computacionais em repositórios digitais
No 56 (2014) • http://biblios.pitt.edu/ • DOI 10.5195/biblios.2014.169 3
Portanto, os repositórios digitais são bases de dados quem contêm toda variedade de objetos em formato digital
(documento de texto, imagem, áudio, vídeo etc.), com a finalidade de disseminar o conteúdo informacional de forma
mais estruturada e tornar sua recuperação acessível em longo prazo por qualquer pesquisador.
Os repositórios digitais oferecem muitos benefícios em relação aos serviços digitais, auxiliando a
comunidade científica na organização e aquisição de trabalhos científicos de uma determinada
instituição ou comunidade, oferecendo acesso irrestrito, intercâmbios e troca de informações, bem
como outros tipos de serviços e recursos. (CAMARGO, 2008, p. 14 apud RIBEIRO; VIDOTTI,
2009, p. 111-112).
Um repositório digital pode ser mantido por qualquer instituição, seja científica, acadêmica, governamental ou outro
tipo de organização solidamente constituída, a qual tenha o propósito de promover a distribuição absoluta da
informação, o livre acesso ao documento integral, o recurso de interoperabilidade e o atributo de armazenamento em
longo prazo.
A página na internet do Registry of Open Access Repositories – ROAR3 (Registro de repositórios de acesso aberto,
em tradução livre) apresenta indicadores sobre os repositórios inscritos pelos provedores de serviços no mundo,
onde é possível ordenar a lista de repositórios e especificar a busca por país, software utilizado e tipo de repositório
determinado.
De acordo com esse registro em maio de 2013, o Brasil ocupa a 6ª posição na lista de países com mais repositórios
digitais de acesso aberto no mundo (133), ficando atrás da Espanha (155), Japão (167), Alemanha (192), Reino
Unido (249) e Estados Unidos (550).
2 Softwares para a construção de repositórios digitais
As plataformas usadas para a criação de repositórios digitais podem ser livres, com código aberto, comumente
elaboradas por institutos, e/ou universidades e disponíveis de forma gratuita. Deste modo, estas ferramentas podem
ser instaladas, avaliadas, utilizadas e customizadas irrestritamente por qualquer organização que tencione aplicá-las
na constituição de uma biblioteca digital. (OLIVEIRA; CARVALHO, 2011).
A plataforma DSpace é uma das mais utilizadas para a construção de repositórios digitais. O DSpace foi concebido
pelo Massachusetts Institute of Technology (MIT) em colaboração com a Hewlett-Packard Company (HP) entre
março de 2000 e novembro de 2002 e ainda
[...] foi traduzido em parceria com a equipe da PORTCOM (Rede de Informação em Comunicação
dos Países de Língua Portuguesa) da INTERCOM (Sociedade Brasileira de Estudos
Interdisciplinares da Comunicação) e do Núcleo de Pesquisa Design de Sistemas Virtuais
Centrado no Usuário da USP (Universidade de São Paulo). (WEITZEL, 2006b, p. 5).
A ferramenta DSpace permite a criação de repositórios digitais para a captura da produção intelectual de
organizações e instituições de pesquisa com funcionalidades de armazenamento, distribuição, visibilidade e
preservação da informação, possibilitando sua customização por outras instituições que adotem esse sistema. O
DSpace é uma ferramenta integrada para apoiar o planejamento de preservação digital em longo prazo e administrar
o conteúdo depositado, o que o torna um software adaptado às realidades da gestão de um repositório em um
grande cenário institucional.
Dentre suas características principais destacam-se: possuir uma arquitetura simples e eficiente, utilizar uma
tecnologia de ponta, ser um software livre direcionado para o acesso aberto e ser propositadamente desenvolvido
para servir de repositório institucional (VIANA; MÁRDERO ARELLANO; SHINTAKU, 2005). Além desses atributos, o
DSpace apresenta a prerrogativa de utilizar “[...] identificadores persistentes que facilitam referenciar os objetos
digitais por um longo período de tempo. O uso do Dspace tem se mostrado fácil e flexível, garantindo a preferência
por esse software para a criação dos repositórios digitais.” (RIBEIRO; VIDOTTI, 2009, p. 108-109).
O software EPrints também é bastante empregado na construção de repositórios digitais de acesso aberto no
mundo. Desenvolvido pela Universidade de Southampton na Inglaterra, a primeira versão do sistema foi lançada
publicamente no final no ano 2000. É um programa apropriado para a criação de repositórios institucionais ou
Analysis of computational vulnerabilities in digital repositories
No 56 (2014) • http://biblios.pitt.edu/ • DOI 10.5195/biblios.2014.169 4
temáticos, oferecendo ampla rede de suporte para novas implementações. É um software livre, de código aberto,
que dispões de mínimo conhecimento técnico para sua instalação e que pode ser facilmente modificado para
satisfazer as preferências da instituição que o utilize.
Sobre os arquivos em formato digital que a ferramenta suporta, Viana e Márdero Arellano (2006, p. 4) destacam que
“os repositórios baseados no EPrints permitem o depósito de pré-prints (trabalhos ainda não publicados), pós-prints
(já publicados), outros tipos de publicações, comentários e versões, bem como de outros tipos de documentos.” O
IBICT customizou versões em português para os softwares DSpace e EPrints.
Outra opção é a ferramenta Fedora que foi idealizada em conjunto pelas Universidades de Virginia e Cornell, sendo
igualmente um software livre de código aberto. O sistema oferece uma arquitetura projetada e acrescenta utilitários
que facilitam o gerenciamento dos repositórios. Sobre a interface do sistema, Oliveira e Carvalho (2011, p. 8)
ressaltam que:
O núcleo central do Fedora é o repositório de serviços, que pode ser acessado utilizando
interfaces via web service, que permite a criação, gerenciamento, armazenamento, acesso e o
reuso dos objetos digitais. Todas as funções do Fedora, tanto no nível de administração do
repositório como no nível do acesso aos objetos digitais são disponibilizados por este repositório
de serviços.
De acordo com o ROAR, o Fedora é uma ferramenta utilizada pelos provedores de serviços, configurando na 5ª
colocação no ranking de softwares aplicados na implementação de repositórios digitais. O sistema Fedora apresenta
uma diferença em relação ao EPrints e ao DSpace por não possuir em sua plataforma básica uma interface
completa com o usuário final. (OLIVEIRA; CARVALHO, 2011).
Dos softwares utilizados com mais frequência para a criação dos repositórios digitais em nível mundial conforme o
ROAR destacam-se o DSpace (1350), EPrints (497), Bepress (175), OPUS (50) e Fedora (41).
3 Utilização do software DSPACE
A informação científica isenta de qualquer restrição de acesso e livre de ônus ao usuário, proporciona benfeitorias
tanto para a instituição que a disponibiliza (com o aumento da sua visibilidade) quanto para o pesquisador, com a
valorização do seu trabalho. Para Kuramoto (2008) esse modelo tecnológico que oferece o acesso aberto à
produção intelectual mundial apresenta resultados importantes para o desenvolvimento científico dos países, como a
facilidade de tornar internacional a literatura científica produzida localmente e a redução da exclusão cognitiva, bem
como um maior compartilhamento do conhecimento produzido.
A iniciativa de Arquivos Abertos e o Movimento de Acesso Aberto à Informação Científica vêm
propondo que a informação científica seja disponibilizada gratuitamente; o que é favorecido pelos
avanços constantes das tecnologias da informação e comunicação (TIC) dos últimos anos,
gerando uma demanda do uso da web para a disseminação dos resultados de pesquisa. (FACHIN
et al, 2009, p. 221).
Devido à OAI, o emprego dos repositórios digitais nos mais diversos tipos de instituições existentes (científicas,
acadêmicas, governamentais, centros de pesquisa, organizações sem fins lucrativos, arquivos públicos, centros
médicos etc.) vem crescendo exponencialmente em virtude dos seus inúmeros benefícios.
O software DSpace é uma das ferramentas mais utilizada mundialmente para a criação dos repositórios digitais de
acesso livre. Os dados disponíveis no site do ROAR comprovam essa afirmação, constatando que há 1350 (até
maio de 2013) repositórios digitais cadastrados em sua base que utilizam essa plataforma em todo o mundo. Por
sua natureza operacional, o DSpace “é um dos softwares que apresenta condições mais propícias de preservação e
acesso aos documentos armazenados.” (TARGINO; GARCIA; PAIVA, 2012, p. 21).
Durante a pesquisa verificou-se que o Brasil possuía 133 repositórios digitais registrados nessa base de dados, dos
quais 72 foram construídos com o uso do software DSpace, o que corresponde a aproximadamente 54% dos
Análise de vulnerabilidades computacionais em repositórios digitais
No 56 (2014) • http://biblios.pitt.edu/ • DOI 10.5195/biblios.2014.169 5
repositórios do país. Com isso, o Brasil ocupa a 5ª posição entre os países que mais utilizam essa ferramenta para a
construção de repositórios, conforme representado na figura 1.
Figura 1 : Número de repositórios digitais com a ferramenta DSpace distribuído por países.
Fonte: ROAR, 2013 (Adaptado).
Desde o desenvolvimento final do DSpace pelo MIT em 2002, o crescimento no número de repositórios digitais se
manifesta progressivamente ao longo dos anos em nível mundial. Essa linha da evolução de uso no tempo é
reproduzida na figura 2.
Figura 2 : Evolução de uso no tempo dos repositórios digitais DSpace no Brasil e no mundo.
Fonte: ROAR (2013).
0
20
40
60
80
100
120
140
160
2004 2007 2010 2013
Nú
mer
o d
e re
po
sitó
rio
s
Ano
Evolução de uso dos repositórios digitais
EUA
JAPÃO
CHINA
ESPANHA
BRASIL
Analysis of computational vulnerabilities in digital repositories
No 56 (2014) • http://biblios.pitt.edu/ • DOI 10.5195/biblios.2014.169 6
Os países que mais se destacam na implementação de repositórios DSpace são os Estados Unidos, Japão, China,
Espanha e Brasil. De acordo com os dados disponíveis no ROAR, o período de maior crescimento no Brasil se
revela a partir do ano de 2011. Até o ano de 2010 existiam 27 repositórios no país inseridos na base de dados do
ROAR, de 2011 até hoje esse número aumentou em 45, correspondendo a um progresso de 63% na criação de
novos repositórios digitais com a ferramenta DSpace.
4 Preservação digital e vulnerabilidades dos repositórios institucionais
Existe uma preocupação universal com a preservação da memória coletiva, cautela justificada pela necessidade de
salvaguarda do conhecimento de valor considerável gerado por uma nação. A preservação de documentos digitais é
um dos maiores desafios do nosso século, devido aos avanços tecnológicos e ao crescimento da produção de
informações em formato digital.
Inicialmente, as técnicas envolvidas com a preservação digital eram baseadas no conceito de identificar medidas
que garantissem a vida útil dos arquivos, mas atualmente está relacionada ao conhecimento sobre os métodos de
preservação para diminuir os riscos que podem afetar a longevidade do patrimônio informacional.
Todo arquivo está sujeito a riscos e eventuais danos que podem prejudicar o acervo institucional de qualquer
organização. Esses acidentes não existem apenas no meio físico, também acontecem no ambiente virtual, e para
minimizá-los é necessário adotar estratégias e medidas eficazes para a proteção dos documentos.
[...] a identificação dos potenciais perigos decorrentes do ambiente digital nos processos de
guarda e preservação da memória tem por objetivo permitir, antecipadamente, a adoção de
medidas preventivas a fim de eliminar as causas ou reduzir os impactos e consequências dos
cenários de acidentes identificados. Assim, a utilização de métodos de análise preliminar de riscos
tem por finalidade propor proteção e guarda ao patrimônio informacional gerenciado por sistemas
de informação, na eventualidade de um possível acidente. (LIMA; LIMA, 2012, p. 5).
O reconhecimento preliminar das possíveis ameaças inerentes aos conteúdos digitais trazem benefícios às
instituições no tocante à administração de recursos financeiros essenciais para a instalação e manutenção de
sistemas e processos operacionais. Identificar esses perigos antecipadamente ou possuir o conhecimento
necessário para saná-los ou amenizá-los contribui para a gestão eficiente da informação digital.
São diversos os fatores que podem colocar em risco o processo de guarda e acesso da memória digital. Um dos
mais comuns diz respeito à obsolescência de hardware e software, pois a tecnologia vive em constante renovação.
Interligado a esse aspecto está a utilização de padrões e formatos de arquivos que permitam o amplo acesso e a
assistência técnica efetiva para a conversão dos dados nos padrões atuais. Márdero Arellano (2004, p. 16) corrobora
essa questão quando afirma que “[...] devem ser usados padrões e converterem-se os documentos nos formatos
livres, para que eles sejam acessados após a obsolescência dos equipamentos e programas informáticos em que
foram criados”. A despeito da existência destes elementos causadores, estes não são considerados capazes de
inutilizar e dificultar o prosseguimento das atividades contínuas dos repositórios institucionais.
Outro ponto importante está relacionado à falta de investimento das próprias instituições, que não disponibilizam os
recursos necessários para promover a especialização e o domínio técnico dos profissionais que lidam com a
preservação da informação digital, dificultando assim a adaptação desses profissionais ao uso das novas
ferramentas de tecnologia. No nível operacional destaca-se a importância de avaliar o funcionamento e a atualização
dos repositórios, nesse sentido Targino, Garcia e Paiva (2012) apontam para a constatação de problemas na
manutenção dos sistemas dos repositórios digitais, apresentando erros internos, links indisponíveis ou até mesmo
inexistentes para o acesso ao conteúdo completo do material.
As ameaças consideradas mais significativas para a preservação digital consistem na falta de gerenciamento dos
ativos informacionais, com a ausência de elaboração de normas e manuais estratégicos que orientem quanto ao
tratamento de objetos digitais; a falta de políticas de seleção para a preservação da coleção digital e a carência de
um controle estatístico com indicadores relevantes para o planejamento, avaliação e gestão do conteúdo
armazenado. Essas vulnerabilidades evidenciam “a presença de riscos capazes de causar acréscimo significativo
Análise de vulnerabilidades computacionais em repositórios digitais
No 56 (2014) • http://biblios.pitt.edu/ • DOI 10.5195/biblios.2014.169 7
nos custos e esforços despendidos durante o processo de guarda e preservação por estes RI.” (LIMA; LIMA, 2012,
p. 11).
As instalações, o acondicionamento e os recursos físicos disponíveis para a conservação dos materiais digitais são
indicadores que não se configuram como ameaças expressivas para a preservação e são considerados elementos
controláveis nos ambientes dos repositórios institucionais.
O conhecimento desses pontos vulneráveis e da frequência com que eles ocorrem, permite aos gestores
anteciparem cuidados e tomarem as providências cabíveis com a preservação e com os custos aplicados durante o
processo de armazenamento e acesso de seus acervos informacionais. O exame dessas vulnerabilidades
caracteriza uma estratégia relevante na administração das técnicas de preservação digital, conforme a abordagem
de Lima e Lima (2012, p. 17)
Diante destas ameaças, a consciência do perigo se faz cada vez mais necessária, gerando
políticas, estratégias e outros instrumentos aplicados a preservação de acervos digitais. Assim,
estas medidas surgirão como ferramentas preventivas capazes de reduzir os impactos e
consequências dos cenários de acidentes identificados nestes RI.
A preservação de documentos digitais deve adotar políticas e procedimentos documentados que garantam a
integridade da informação, disponibilizar o acesso em longo prazo destes documentos para a posteridade, permitir
que a informação seja disseminada como reprodução legítima do original e seguir ações imediatas que favoreçam a
confiabilidade. Thomaz (2007, p. 88) define que “um repositório digital confiável é mais do que uma organização
encarregada de armazenar e administrar objetos digitais”.
Um dos atributos dos repositórios digitais confiáveis é a conformidade com o modelo de referência Open Archival
Information System (OAIS) ou Sistema Aberto para Arquivamento de Informação (SAAI), publicado pelo Consultive
Committee for Space Data Systems. Outras características como responsabilidade administrativa, sistema de
segurança, viabilidade organizacional e adequação financeira completam os requisitos de credibilidade dos arquivos
digitais confiáveis. (THOMAZ, 2007). O SAAI é o modelo de preservação de arquivos em longo prazo mais utilizado
atualmente. Este modelo deve ser complementado pelas premissas gerais de segurança da informação que devem
ser observadas por qualquer organização que se proponha a este tipo de atividade.
5 Segurança da informação
A informação é um insumo de extrema importância na história da humanidade e precisa ser resguardada. Temos
ciência que ela esteve presente em todo o período da evolução histórica, desde os primórdios até os tempos atuais.
“Na época em que as informações eram armazenadas apenas em papel, a segurança era relativamente simples.
Bastava trancar os documentos em algum lugar e restringir o acesso físico àquele local.” (BRASIL, 2007, p. 7). Com
a migração da informação para o suporte digital e sua disponibilização pelas redes de computadores este cenário foi
alterado.
A informação é um componente representativo na sociedade do conhecimento, a qual surgiu como resultado do
fenômeno conhecido como explosão informacional, distinguida pelo aumento quantitativo e acelerado nos processos
de produção e disseminação da informação.
Na atual sociedade da informação, ao mesmo passo em que as informações são caracterizadas como a herança
fundamental de uma organização, simultaneamente estão vulneráveis a riscos contínuos e a sofrerem perigosas
consequências, como nunca estiveram anteriormente. Dessa forma, a segurança da informação traduz-se como um
tema categórico para a sobrevivência das instituições. (BRASIL, 2007).
O recurso informacional é um bem precioso para pessoas, empresas, organizações e instituições, constituindo uma
mercadoria indispensável principalmente para o processo de tomada de decisões. Nesse contexto, Sêmola (2003
apud MAIA, 2010) afirma que há uma necessidade imprescindível de assegurar e proteger esses ativos
informacionais contra acessos de pessoas não autorizadas, alterações ou usos indevidos, como também sua
indisponibilidade.
Analysis of computational vulnerabilities in digital repositories
No 56 (2014) • http://biblios.pitt.edu/ • DOI 10.5195/biblios.2014.169 8
A NBR ISO/IEC 17799 é uma norma de Tecnologia da Informação e Técnicas de Segurança. A versão original foi
publicada em 2002 pela Associação Brasileira de Normas Técnicas – ABNT e revisada em 2005 pela International
Standards Organization – ISO (Organização Internacional de Padrões) e pela International Electrotechnical
Commission – IEC (Comissão Eletrotécnica Internacional) e passou a ser identificada como NBR ISO/IEC 27002.
A segurança da informação tem a função de proteger a informação de inúmeras formas de ameaças. Para
complementar esse processo de resguarda, a segurança da informação pode ser sistematizada em uma tríade de
fundamentos básicos: confidencialidade, integridade e disponibilidade. Conforme destacado na NBR ISO/IEC 27002,
A segurança da informação é aqui caracterizada pela preservação de: a) confidencialidade:
garantia de que a informação é acessível somente por pessoas autorizadas a terem acesso; b)
integridade: salvaguarda da exatidão e completeza da informação e dos métodos de
processamento; c) disponibilidade: garantia de que os usuários autorizados obtenham acesso à
informação e aos ativos correspondentes sempre que necessário. (ASSOCIAÇÃO BRASILEIRA
DE NORMAS TÉCNICAS, 2002, p. 2).
Na visão de Campos (2006, p. 6 apud MAIA, 2010, p. 11-12) define-se que
O princípio da confidencialidade é respeitado quando apenas as pessoas explicitamente
autorizadas podem ter acesso à informação. O princípio da integridade é respeitado quando a
informação acessada está completa, sem alterações e, portanto, confiável. O princípio da
disponibilidade é respeitado quando a informação está acessível, por pessoas autorizadas,
sempre que necessário.
Outros fatores de preservação como responsabilidade, autenticidade e confiabilidade também podem estar
presentes e envolvidos no processo da segurança da informação. Um episódio isolado ou uma série de eventos
indesejados podem acarretar em incidentes imprevistos para a segurança da informação e apresentam uma ampla
probabilidade de ameaça para o sistema, ocasionando o comprometimento da segurança dos dados.
Muitos sistemas de informação e redes de computadores de instituições não foram projetados para serem ambientes
seguros. O acesso pode ser comprometido por diversos tipos de ameaças existentes à segurança da informação e
os ataques são oriundos de várias fontes como invasão de hackers, fraudes eletrônicas, sabotagens por vírus,
vandalismo e até mesmo como alvo de espionagem governamental.
6 Desenvolvimento e procedimentos metodológicos
Esta pesquisa caracteriza-se como descritiva e quantitativa e serão abordadas considerações a respeito dos
métodos utilizados para a coleta e análise dos dados. A abordagem quantitativa apresenta como característica a
análise numérica dos dados coletados por meio de procedimentos estatísticos, representados graficamente em
quadros e ilustrações.
O universo abrangido pelo estudo são as Universidades Federais do Brasil, composto por 59 instituições
acadêmicas conforme consta no endereço eletrônico do MEC4. A amostra corresponde a 30 (trinta) universidades
federais de todas as regiões do país que possuem Repositórios Digitais de Acesso Aberto em sua esfera acadêmica
(quadro1).
A técnica adotada para a coleta e análise dos dados consistiu na execução de Testes de Penetração nos sistemas
dos repositórios, através da ferramenta Netsparker. Esses testes podem ser considerados como “instrumentos
utilizados com a finalidade de obter dados que permitam medir o rendimento, a frequência, a capacidade ou a
conduta de indivíduos [ou organismos], de forma quantitativa”. (MARKONI; LAKATOS, 2003, p. 223).
O Netsparker é um software de escaneamento de segurança que executa Penetration Test (Teste de Penetração,
tradução nossa) em sites e detecta automaticamente as falhas que poderiam deixá-los perigosamente expostos.
Segundo Assunção (2010, p. 93), “um dos ataques mais comuns hoje é a injeção de comandos SQL (Structured
Query Language). [...] SQL é um banco de dados muito utilizado atualmente, que possui várias versões [...]”.
Análise de vulnerabilidades computacionais em repositórios digitais
No 56 (2014) • http://biblios.pitt.edu/ • DOI 10.5195/biblios.2014.169 9
A ferramenta Netsparker está apta a identificar muitas vulnerabilidades de segurança da Web no decorrer da
varredura do sistema, sendo capaz de explorar habilmente as falhas de injeção de comandos SQL em diferentes
bancos de dados com alta precisão.
O Teste de Penetração permite identificar potenciais vazamentos de informação que podem prejudicar um
organismo ou empresa, e compreende fases que abrangem desde uma abertura na segurança por um ataque
externo e/ou interno até o acesso indevido a dados confidenciais não autorizados, eventos que podem causar danos
irreparáveis aos sistemas. Conforme Assunção (2010, p. 55), o objetivo deste teste é detectar falhas através de
simulações de ataques e invasões a um sistema, rede ou ambiente no qual se analisar.
Os testes foram realizados em laboratório na Universidade Federal da Paraíba, no período de 18/06/2013 a
16/07/2013. A relação dos repositórios digitais federais pode ser encontrada no diretório do IBICT5.
Algumas dificuldades foram identificadas no decorrer da fase dos testes de vulnerabilidades dos repositórios digitais,
as quais são relatadas a seguir:
Os endereços dos repositórios da UFAC, UFF, UFJF e UNIFESP apresentaram falha no carregamento da
página e não foi possível ter acesso ao seu conteúdo, o que impossibilitou a execução do teste;
O repositório da UFPE exibiu um endereço não localizado e também não foi possível testar seu
desempenho;
Nos repositórios da UFAL, UFGD, UFRGS, UFVJM e UFV os testes de vulnerabilidade não foram
concluídos, pois em determinado ponto a velocidade de escaneamento chegava a zero e o andamento da
varredura era prejudicado até cessar por completo;
Houve a necessidade de refazer a análise de risco do repositório da UNB devido a uma divergência na
verificação dos resultados. O primeiro teste foi realizado em 19/06/2013 e o segundo em 12/08/2013.
Portanto, das 30 (trinta) instituições federais consideradas na amostra, 20 (vinte) foram analisadas com sucesso, o
que corresponde a aproximadamente 67% dos repositórios digitais testados. A quadro abaixo apresenta o histórico
do desenvolvimento da análise de risco dos repositórios institucionais federais:
Quadro 1: Histórico da análise de risco dos Repositórios Institucionais Federais (continua).
Nº Instituições Repositório Data de consulta Tempo de escaneamento
1 UFAC http://repositorios.ufac.br:8080/repositorio/ Sem acesso
2 UFAL http://www.repositorio.ufal.br/ Teste não concluído
3 UFBA https://repositorio.ufba.br/ri/ 23/06/2013 54min
4 UnB http://repositorio.bce.unb.br/ 12/08/2013 1h33min
5 UFC http://www.repositorio.ufc.br:8080/ri/ 28/06/2013 1h04min
6 UFES http://repositorio.ufes.br/ 27/06/2013 1h20min
7 UFF http://repositorio.uff.br/jspui/ Sem acesso
8 UFG http://repositorio.bc.ufg.br/ 28/06/2013 57min
9 UFGD http://www.ufgd.edu.br:8080/jspui/ Teste não concluído
10 UFJF http://repositorio.ufjf.br:8080/jspui/ Sem acesso
Fonte: Dados da pesquisa (2013)
Analysis of computational vulnerabilities in digital repositories
No 56 (2014) • http://biblios.pitt.edu/ • DOI 10.5195/biblios.2014.169 10
Quadro 1: Histórico da análise de risco dos Repositórios Institucionais Federais (conclusão).
Nº Instituições Repositório Data de consulta Tempo de escaneamento
11 UFLA http://repositorio.ufla.br/ 10/07/2013 3h04min
12 UFMA http://www.repositorio.ufma.br:8080/jspui/ 26/06/2013 2h52min
13 UFMS http://repositorio.cbc.ufms.br:8080/jspui/ 15/07/2013 1h31min
14 UFMG https://dspaceprod02.grude.ufmg.br/dspace/ 18/06/2013 12min
15 UFOP http://www.repositorio.ufop.br/ 30/06/2013 1h29min
16 UFPA http://repositorio.ufpa.br/jspui/ 27/06/2013 2h09min
17 UFPB http://rei.biblioteca.ufpb.br/jspui/ 22/06/2013 2h24min
18 UFPR http://dspace.c3sl.ufpr.br:8080/dspace/ 30/06/2013 5h45min
19 UFPEL http://guaiaca.ufpel.edu.br:8080/jspui/ 16/07/2013 3h25min
20 UFPE http://www.repositorios.ufpe.br/jspui/ Não localizado
21 FURG http://repositorio.furg.br:8080/jspui/ 01/07/2013 2h03min
22 UFRGS http://www.lume.ufrgs.br/ Teste não concluído
23 UFRN http://repositorio.ufrn.br:8080/jspui/ 18/06/2013 1h36min
24 UFSC http://repositorio.ufsc.br/ 18/06/2013 3h38min
25 UFSCAR http://livresaber.sead.ufscar.br:8080/jspui/ 06/07/2013 2h18min
26 UNIFESP http://200.133.202.157:8080/jspui/ Sem acesso
27 UFS https://ri.ufs.br/ 08/07/2013 1h34min
28 UFU http://repositorio.ufu.br/ 08/07/2013 2h20min
29 UFVJM http://acervo.ufvjm.edu.br:8080/jspui/ Teste não concluído
30 UFV http://riserver.cpd.ufv.br:8080/repositorio/ Teste não concluído
Fonte: Dados da pesquisa (2013)
Como qualquer base de dados, os repositórios digitais estão vulneráveis a diversos tipos de ameaças. Essas
vulnerabilidades podem colocar em risco seu funcionamento e expor o repositório a ataques externos. A ferramenta
de análise de segurança utilizada para testar os repositórios institucionais federais detecta e identifica falhas que
podem expor perigosamente o sistema a ataques. Contudo não prejudica ou explora as falhas encontradas.
A descrição dos testes e as definições das vulnerabilidades empregadas nesta pesquisa são traduções dos manuais
do software Netsparker e estão em conformidade com iniciativas criadas por diferentes organizações que se
empenham em classificar as vulnerabilidades encontradas nos sistemas e que podem prejudicar a segurança da
informação. O quadro seguinte indica a relação das classificações aplicadas:
Análise de vulnerabilidades computacionais em repositórios digitais
No 56 (2014) • http://biblios.pitt.edu/ • DOI 10.5195/biblios.2014.169 11
Quadro 2: Relação de organizações que monitoram e classificam os tipos de vulnerabilidades em sistemas
na Web.
Organização Relação
WASC – Web Application Security Consortium (Consórcio de
Segurança de Aplicações Web)
Esforço cooperativo para esclarecer e organizar as
ameaças à segurança de uma página na Internet.
OWASP – Open Web Application Security Project (Projeto de
Segurança de Aplicações Web Abertas)
Comunidade aberta dedicada a capacitar as
organizações para conceber, desenvolver, adquirir,
operar e manter aplicações que podem ser
confiáveis.
CWE – Common Weakness Enumeration (Enumeração de
Fraquezas Comuns)
Lista os tipos de fraquezas de software
desenvolvidas por iniciativas da comunidade voltada
para desenvolvedores e profissionais de segurança.
CAPEC – Common Attack Pattern Enumeration and
Classification (Ataque Comum Padrão de Enumeração e
Classificação)
A comunidade disponibiliza fontes de conhecimento
para a construção de um software seguro.
PCI – Payment Card Industry
Apresenta um Padrão de Segurança de Dados, com
requisitos e procedimentos de avaliação de
segurança.
Fonte: Dados da pesquisa (2013).
Os riscos são divididos em cinco níveis: crítico, alto, médio, baixo e alerta. Para efeito desta pesquisa a análise dos
conceitos referentes aos alertas foram desconsiderados. Conforme verificação dos resultados apurados foi
identificada um única vulnerabilidade de risco classificado como crítico:
Boolean Based SQL Injection – a injeção SQL ocorre quando a entrada de dados, por exemplo, um usuário,
é interpretado como um comando SQL, em vez de dados normais. Essa é uma vulnerabilidade muito
comum e a sua exploração bem sucedida pode ter implicações importantes. A vulnerabilidade foi
confirmada por meio da execução de um teste de consultas SQL no banco de dados. Nesses testes, o SQL
Injection não era óbvio, mas as diferentes respostas da página com base no teste de injeção permitiu
identificar e confirmar o SQL Injection.
A análise de segurança detectou os seguintes tipos de vulnerabilidades de alto risco:
Password Transmitted over HTTP – identifica que dados de senha são enviados através de HTTP. Um
atacante acessando o site do repositório pode realizar uma invasão para capturar a senha do usuário.
Cross-site Scripting (XSS) – permite a um invasor executar um script dinâmico no contexto da aplicação.
Isso dá lugar a variadas e diferentes oportunidades de ataque, principalmente o sequestro da sessão atual
do usuário ou alteração da aparência da página, modificando o código HTML na hora de roubar as
credenciais do usuário. XSS tem como alvo os usuários do aplicativo em vez do servidor. Embora esta seja
uma limitação, uma vez que permite que atacantes sequestrem a sessão de outros usuários, um invasor
pode atacar um administrador para obter o controle total sobre a aplicação.
SVN Detected – detecta arquivos divulgados pelo código de sistemas de controle de versão de origem,
como CVS, GIT e SVN. Um invasor pode explorar este problema para ter acesso ao código-fonte da
aplicação, ou pode recuperar a configuração e/ou outros arquivos importantes.
Cookie Not Marked as Secure – identificou um cookie não marcado como seguro e transmitido através de
HTTPS. Isso significa que o cookie poderia ser roubado por um invasor que pode interceptar e decifrar com
sucesso o tráfego, ou após um bem sucedido ataque man-in-the-middle (homem no meio). Nesse tipo de
Analysis of computational vulnerabilities in digital repositories
No 56 (2014) • http://biblios.pitt.edu/ • DOI 10.5195/biblios.2014.169 12
ataque, o computador do invasor age como um servidor para o usuário, capturando e descriptografando os
dados através de uma chave privada de certificado, tornando a criptografá-los e enviando-os para o
servidor remoto no papel de cliente. (ASSUNÇÃO, 2010).
As vulnerabilidades de risco médio identificadas foram:
HTTP Header Injection – detecta problemas de injeção de cabeçalho em aplicações web que podem causar
sérios problemas. O mais comum deles são Cross-site Scripting e sequestro de sessão, tomando a forma
de ataques de fixação de sessão.
Insecure Transportation Security Protocol Supported (SSLv2) – detecta que o servidor web está configurado
para suportar a comunicação segura através de um protocolo de transporte inseguro (SSLv2), que possui
várias falhas. O tráfego seguro do site pode ser observado quando foi estabelecido sobre este protocolo.
Os atacantes podem realizar ataques e observar o tráfego de criptografia entre o site e os visitantes.
Weak Ciphers Enabled – detecta que o servidor web está configurado para permitir o uso de cifras fracas
durante a comunicação segura (SSL). Invasores podem montar ataques de força bruta para decifrar a
comunicação segura entre o servidor e os visitantes.
Invalid SSL Certificate – verifica que o servidor web utiliza um certificado SSL inválido. Um certificado SSL
pode ser criado e assinado por qualquer um. É necessário ter um certificado SSL válido para fazer com que
os visitantes tenham certeza sobre a comunicação segura entre o site e eles. Se o site tiver um certificado
inválido, os visitantes vão ter dificuldade em distinguir entre seu certificado e os de atacantes.
Os tipos de vulnerabilidades de baixo risco encontrados foram:
Cookie Not Marked as HttpOnly – relata que um cookie não foi marcado como HTTPOnly. Cookies
HTTPOnly não podem ser lidos pelos scripts do lado do usuário, portanto, marcar um cookie como
HTTPOnly pode fornecer uma camada adicional de proteção contra ataques de Cross-site Scripting.
Internal Server Error – O servidor respondeu com um status HTTP 500. Isto indica que há um erro do
servidor. As razões podem variar, o comportamento deve ser cuidadosamente analisado.
Auto Complete Enabled – a função Auto Completar foi ativada em um ou mais campos de formulário
sensíveis, como senhas. Os dados inseridos nesses campos serão armazenados em cache pelo
navegador. Um invasor que pode acessar o computador da vítima poderia roubar esta informação. Isto é
especialmente importante se o aplicativo é comumente usado em computadores públicos.
Version Disclosure (Apache) – identifica uma versão divulgação (Apache), em resposta HTTP do servidor
web de destino. Essas informações podem ajudar a um atacante obter uma maior compreensão dos
sistemas em uso e, potencialmente, desenvolver novos ataques direcionados a versão específica do
Apache.
Version Disclosure (Apache Coyote) – determina que o servidor web de destino está divulgando a versão
Coyote Apache em sua resposta HTTP. Um atacante pode usar as informações divulgadas para colher as
vulnerabilidades de segurança específicas para a versão identificada.
Version Disclosure (Tomcat) – identifica que o servidor web alvo está divulgando a versão Tomcat em sua
resposta HTTP. Essas informações podem ajudar a um atacante obter uma maior compreensão dos
sistemas em uso e, potencialmente, desenvolver novos ataques direcionados à versão específica do
Tomcat.
Exception Report Disclosure (Tomcat) – determina que o servidor web alvo está divulgando os dados do
relatório de exceção na resposta HTTP. Um atacante pode obter informações como o caminho de arquivo
físico dos arquivos do Tomcat e se concentrar potencialmente no desenvolvimento de novos ataques ao
sistema de destino.
Social Security Number Disclosure – identifica Números de Segurança Social (SSN) no site. Números de
Segurança Social tem sido usados por atacantes no roubo de identidade já que muitas organizações,
Análise de vulnerabilidades computacionais em repositórios digitais
No 56 (2014) • http://biblios.pitt.edu/ • DOI 10.5195/biblios.2014.169 13
incluindo empresas, agências governamentais, hospitais e instituições de ensino utilizam o SSN como o
identificador primário para os seus sistemas de manutenção de registros.
As vulnerabilidades identificadas nas verificações de segurança dos repositórios digitais foram organizadas e
distribuídas por tipos e classificadas nos 5 (cinco) níveis de risco: crítico, alto, médio, baixo e alertas. A Quadro 3
apresenta os resultados por tipos de vulnerabilidades detectadas nos ambientes computacionais dos repositórios
analisados.
Quadro 3: Tipos de vulnerabilidades identificados nos Repositórios Institucionais Federais (continua).
Nív
el
Tipo de
vulnerabilida
de
U1
U2
U3
U4
U5
U6
U7
U8
U9
U10
U11
U12
U13
U14
U15
U16
U17
U18
U19
U20
Crí
tico
Boolean
Based SQL
Injection
1
Alto
Password
Transmitted
over HTTP
1 1
1
1 1
1
1
1
1
1 1
1
1 1
1
1
XSS (Cross-
site Scripting)
150
4
32
1
1
28
27
SVN Detected 1
Cookie Not
Marked as
Secure
1
Médio
HTTP Header
Injection
8
30
35
Insecure
Transportation
Security
Protocol
Supported
(SSLv2)
1
Weak Ciphers
Enabled
1
Invalid SSL
Certificate
1
Fonte: Dados da pesquisa ( 2013).
Analysis of computational vulnerabilities in digital repositories
No 56 (2014) • http://biblios.pitt.edu/ • DOI 10.5195/biblios.2014.169 14
Quadro 3: Tipos de vulnerabilidades identificados nos Repositórios Institucionais Federais (conclusão).
Nív
el
Tipo de
vulnerabilida
de
U1
U2
U3
U4
U5
U6
U7
U8
U9
U10
U11
U12
U13
U14
U15
U16
U17
U18
U19
U20
Baix
o
Cookie Not
Marked as
HttpOnly
1
1 1 1 1 1
1
1
1 1
Internal Server
Error
1 1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
Auto Complete
Enabled
1 1
1
1
1
1
1
1
1
1
1 1
1
1
1
1
1
1
Version
Disclosure
(Apache)
1
Version
Disclosure
(Apache
Coyote)
1 1 1
1
1
1
1 1
1
1
1 1
1
1
1
Version
Disclosure
(Tomcat)
1 1 1 1
1
1
1 1
Exception
Report
Disclosure
(Tomcat)
1 1 1
Social Security
Number
Disclosure
1
Fonte: Dados da pesquisa ( 2013).
7 Recomendações para a segurança e considerações finais
Estar seguro é uma necessidade, reforçada quando se trabalha no mundo tecnológico. É importante definir medidas
que promovam a proteção e permitam o funcionamento eficaz dos serviços prestados em caso de comprometimento
do sistema ocasionado pelas falhas na segurança.
Para proteger os ativos informacionais de uma instituição é necessário combinar ações preventivas e de
recuperação, que consistem em um conjunto de técnicas e procedimentos que devem ser adotados para a
segurança digital. “Essas estratégias e procedimentos deverão minimizar o impacto sofrido diante do acontecimento
de situações inesperadas, desastres, falhas de segurança, entre outras, até que se retorne à normalidade.”
(BRASIL, 2007, p. 33).
Análise de vulnerabilidades computacionais em repositórios digitais
No 56 (2014) • http://biblios.pitt.edu/ • DOI 10.5195/biblios.2014.169 15
As normas e ferramentas de análise de segurança indicam procedimentos e oferecem informações para incrementar
as medidas de segurança. Por exemplo, um método reconhecido para atenuar a ameaça de vulnerabilidades
baseadas em injeções de comando SQL é a utilização de consultas parametrizadas para a filtragem dos caracteres
digitados, impedindo a inserção de comandos pelo invasor nos scripts dos programas.
Outra recomendação é para evitar que senhas de usuários sejam capturadas: todos os dados sensíveis devem ser
transferidos via HTTPS em vez de HTTP. Os formulários devem ser servidos por HTTPS e todos os aspectos da
aplicação que aceitam entrada do usuário a partir do processo de login só devem ser fornecidos por HTTPS.
Para impedir ataques XSS é altamente recomendado o uso de uma biblioteca de codificação, pois a mesma é de
grande complexidade. Dessa forma evita-se que atacantes utilizem essa técnica para obter acesso aos cookies de
usuários sem autorização, através do navegador.
Ameaças sempre vão existir e falhas sempre vão ocorrer, independente dos recursos investidos em software,
hardware e pessoal capacitado. Executar Testes de Penetração, bem como efetuar a varredura do sistema com
scanners de vulnerabilidades e realizar pesquisas manuais são recomendações bastante úteis para prevenção e
correção dos problemas apontados. (ASSUNÇÃO, 2010).
A implementação de uma política de segurança, o uso de controles de acesso aos recursos de processamento e a
aplicação de tecnologias voltadas para a segurança de serviços de redes de computadores como autenticação,
certificados de segurança válidos, encriptação de dados, dentre outros, são medidas que restringem o acesso a
quem de direito e tornam o ambiente menos suscetível a invasões. Também é indispensável o uso de softwares
como antivírus, firewall e monitoradores do sistema, que auxiliam na segurança.
Os sistemas digitais estão vulneráveis a todo tipo de riscos, sejam eles desastres naturais, acidentes ou ataques
intencionais, o que resulta no acontecimento de situações imprevistas. As falhas na segurança podem causar
impactos inesperados nas redes de computadores de uma instituição, e os resultados dessas lacunas abrangem
desde ocorrências de baixa relevância até fatos de consequências calamitosas para a organização.
Com a disponibilidade e utilização das ferramentas tecnológicas, a informação é transmitida com muito mais
facilidade e presteza por todo o mundo. O processamento instantâneo da informação por meio da Internet promoveu
sua difusão em larga escala. Desse modo, os dados informacionais passaram a apresentar uma maior necessidade
de segurança para sua salvaguarda, independente do suporte utilizado.
Nesta pesquisa foram distinguidos os aspectos essenciais da segurança da informação, as vulnerabilidades mais
comuns e as medidas adotadas para uma melhor segurança dos dados, bem como os resultados da aplicabilidade
dos testes nos sistemas gerenciadores dos repositórios digitais.
Para que seja efetuada a prestação de bons serviços em ambientes informatizados é indispensável a aplicação de
boas práticas para segurança da informação, visando a proteção do patrimônio intelectual da estrutura
organizacional. Para tanto, é essencial a colaboração de todos que interagem com o sistema, englobando
profissionais da área, gestores, funcionários e usuários.
Conforme a análise dos dados resultantes das aplicações dos testes permitiram uma apreciação pormenorizada das
ameaças concernentes à segurança dos ativos informacionais depositados nos repositórios digitais, quantificando e
denominando os riscos encontrados, assim como possibilitou diferenciar os elementos causadores das falhas e
apontou a adoção de técnicas e procedimentos adequados que podem contribuir para a preservação dos dados
digitais.
Considerando os resultados verificados na pesquisa, pode-se concluir que o desempenho dos repositórios digitais
das IES federais ainda não está completamente satisfatório em relação à Segurança da Informação. Como
apresentado no desenvolvimento do trabalho, no quesito correspondente ao acesso das informações dos usuários,
80% dos repositórios testados está exposto à vulnerabilidade de alto risco Password Transmitted over HTTP, ou
seja, a recuperação da senha pessoal por meio de ataques simples. E no que diz respeito às vulnerabilidades de
baixo risco, os destaques se concentram no item de Erro Interno do Servidor, encontrado em 95% dos testes e na
função de Auto Completar, responsável por facilitar a recuperação de informações sigilosas em 90% dos
repositórios.
Analysis of computational vulnerabilities in digital repositories
No 56 (2014) • http://biblios.pitt.edu/ • DOI 10.5195/biblios.2014.169 16
Quando analisados em conjuntos com os resultados apresentados por Lima e Lima(2012), verifica-se que os
ambientes destes repositórios digitais são muito frágeis, e não possuem os requisitos para preservar a informação
neles armazenadas, como proposto. Por fim, convém evidenciar a relevância da aplicação das práticas de
segurança recomendadas pelas normas vigentes e por profissionais qualificados, com o intuito de suprir
necessidades básicas para a preservação dos dados e diminuir a suscetibilidade de invasão ou quaisquer outros
tipos de ameaças a que estão expostos os repositórios digitais de uma instituição.
Referências
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR ISO/IEC 17799: Tecnologia da informação: código de
prática para a gestão da segurança da informação. Rio de Janeiro, 2002.
ASSUNÇÃO, Marcos Flávio Araújo. Segredos do hacker ético. 3. ed. Florianópolis: Visual Books, 2010.
BRASIL. Tribunal de Contas da União. Boas práticas em segurança da informação. 2. ed. Brasília, DF, 2007.
Disponível em: <http://portal2.tcu.gov.br/portal/pls/portal/docs/2059162.PDF>. Acesso em: 24 ago. 2013.
CAPEC. Common Attack Pattern Enumeration and Classification. Disponível em: <http://capec.mitre.org/index.html>. Acesso em: 28 out. 2013.
CWE. Common Weakness Enumeration. Disponível em: <http://cwe.mitre.org/about/index.html>. Acesso em: 28 out. 2013.
FACHIN, Geisy Regina Bories, et al. Gestão do conhecimento e a visão cognitiva dos repositórios institucionais. Perspectivas em Ciência da Informação, Belo Horizonte, v. 14, n. 2, p. 220-236, maio./ago. 2009. Disponível em: <http://www.scielo.br/pdf/pci/v14n2/v14n2a15.pdf>. Acesso em: 15 maio 2013.
GIL, Antonio Carlos. Como elaborar projetos de pesquisa. 4. ed. São Paulo: Editora Atlas, 2002.
KURAMOTO, Hélio. Informação científica: proposta de um novo modelo para o Brasil. Ciência da Informação,
Brasília, v. 35, n. 2, p. 91-102, maio/ago. 2006. Disponível em: <http://www.scielo.br/pdf/ci/v35n2/a10v35n2.pdf>. Acesso em: 09 maio 2013.
KURAMOTO, Hélio. Réplica - Acesso Livre: caminho para maximizar a visibilidade da pesquisa. RAC, Curitiba, v. 12,
n. 3, p. 861-872, jul./set. 2008. Disponível em: <http://www.scielo.br/pdf/rac/v12n3/13.pdf>. Acesso em: 09 maio 2013.
LIMA, Fanny do Couto Ribeiro de; LIMA, Marcos Galindo de. Preservação digital da informação científica: uma análise de risco em repositórios institucionais brasileiros. In: ENCONTRO NACIONAL DE PESQUISA EM CIÊNCIA DA INFORMAÇÃO, 13., 2012, Rio de Janeiro. Anais eletrônicos... Disponível em:
<http://www.eventosecongressos.com.br/metodo/enancib2012/arearestrita/pdfs/19495.pdf>. Acesso em: 01 jun. 2013.
MAIA, Ana Maria Rocha. Segurança da informação: estudo para implantação do arquivo da Seplan. 2010. 57 f.
Trabalho de Conclusão de Curso (Graduação em Biblioteconomia)–Universidade Federal do Rio Grande do Norte, Natal, 2010. Disponível em: <http://repositorio.ufrn.br:8080/monografias/handle/1/178>. Acesso em 24 ago. 2013.
MARCONI, Marina de Andrade; LAKATOS, Eva Maria. Fundamentos de metodologia científica. 5. ed. São Paulo:
Editora Atlas, 2003.
MÁRDERO ARELLANO, Miguel Angel. Preservação de documentos digitais. Ciência da Informação, Brasília, v.33,
n.2, p. 15-27, maio/ago. 2004. Disponível em: <http://www.scielo.br/pdf/ci/v33n2/a02v33n2.pdf>. Acesso em: 10 maio 2013.
OLIVEIRA, Renan Rodrigues de; CARVALHO, Cedric Luiz de. Bibliotecas Digitais e o Repositório Fedora.
Instituto de Informática. Universidade Federal de Goiás, 2011. Disponível em: <http://www.inf.ufg.br/sites/default/files/uploads/relatorios-tecnicos/RT-INF_002-11.pdf>. Acesso em: 19 maio 2013.
OWASP. Open Web Application Security Project. Disponível em: <https://www.owasp.org/index.php/Main_Page>. Acesso em: 28 out. 2013.
PCI. Payment Card Industry. Disponível em: <https://www.pcisecuritystandards.org/documents/pci_dss_v2.pdf>. Acesso em: 28 out. 2013.
RIBEIRO, O. B ; VIDOTTI, S. A. B. G. Otimização do acesso à informação científica: discussão sobre a aplicação de elementos da arquitetura da informação em repositórios digitais. Biblos, Rio Grande, v. 23, n. 2, p. 105-116, 2009.
Disponível em: <http://www.seer.furg.br/biblos/article/view/1309/593>. Acesso em: 10 maio 2013.
Análise de vulnerabilidades computacionais em repositórios digitais
No 56 (2014) • http://biblios.pitt.edu/ • DOI 10.5195/biblios.2014.169 17
TARGINO, Maria das Graças; GARCIA, Joana Coeli Ribeiro; PAIVA, Maria José Rodrigues. Repositórios institucionais brasileiros: entre o sonho e a realidade. In: CONFERENCIA INTERNACIONAL ACCESO ABIERTO, COMUNICACIÓN CIENTÍFICA Y PRESERVACIÓN DIGITAL, 1., 2012, Barranquilla, Colombia. Anais Eletrônicos...
Disponível em: <http://eventos.uninorte.edu.co/index.php/biredial/biredial2012/paper/view/360>. Acesso em: 02 jun. 2013.
THOMAZ, Kátia P. Repositórios digitais confiáveis e certificação. Arquivística.net, Rio de Janeiro, v. 3, n. 1, p. 80-
89, jan./jun. 2007. Disponível em: <http://www.brapci.ufpr.br/documento.php?dd0=0000004775&dd1=ac3d4>. Acesso em: 03 jun. 2013.
VIANA, Cassandra Lúcia de Maya; MÁRDERO ARELLANO, Miguel Angel. Repositórios institucionais baseados em DSpace e EPrints e sua viabilidade nas instituições acadêmico-científicas. In: SEMINÁRIO NACIONAL DE BIBLIOTECAS UNIVERSITÁRIAS, 14., 2006, Salvador. Anais eletrônicos... Disponível em:
<http://eprints.rclis.org/8834/>. Acesso em: 13 maio 2013.
VIANA, Cassandra Lúcia de Maya; MÁRDERO ARELLANO, Miguel Angel; SHINTAKU, Milton. Repositórios institucionais em ciência e tecnologia: uma experiência de customizacão do DSpace. In: SIMPOSIO INTERNACIONAL DE BIBLIOTECAS DIGITAIS, 3., 2005, São Paulo. Anais eletrônicos... Disponível em:
<http://eprints.rclis.org/7168/>. Acesso em: 12 maio 2013.
WASC. Web Application Security Consortium. Disponível em: <http://projects.webappsec.org/w/page/13246927/FrontPage>. Acesso em: 28 out. 2013.
WEITZEL, Simone da Rocha. O papel dos repositórios institucionais e temáticos na estrutura da produção científica. Em Questão, Porto Alegre, v. 12, n. 1, p. 51-71, jan./jun. 2006. Disponível em:
<http://seer.ufrgs.br/EmQuestao/article/view/19/7>. Acesso em: 14 maio 2013.
WEITZEL, Simone da Rocha. Reflexões sobre os repositórios institucionais. In: CONGRESSO BRASILEIRO DE CIÊNCIAS DA COMUNICAÇÃO, 29., 2006, Brasília. Anais eletrônicos... Disponível em:
<http://eprints.rclis.org/8744/1/reflexoes_weitzel_endocom.pdf>. Acesso em: 15 maio 2013.
Notas 1Disponível em: <http://www.brapci.ufpr.br/indicador_producao.php>. Acesso em: 17 out 2013.
2O conceito na íntegra está disponível em: <http://www.ibict.br/informacao-para-ciencia-tecnologia-e-
inovacao%20/repositorios-digitais>. Acesso em: maio 2013.
3Website: http://roar.eprints.org/
4Informações disponíveis em: <http://emec.mec.gov.br/>. Acesso em: 17 out. 2013.
5Disponível em: <http://diretorio.ibict.br/handle/1/4/browse?type=title&submit_browse=Title>.
Analysis of computational vulnerabilities in digital repositories
No 56 (2014) • http://biblios.pitt.edu/ • DOI 10.5195/biblios.2014.169 18
Dados dos autores
Valdete Fernandes Belarmino
Possui graduação em Biblioteconomia pela Universidade Federal da Paraíba (2014) . Tem experiência na área de
Ciência da Informação, com ênfase em Biblioteconomia.
Wagner Junqueira de Araújo
Doutor em Ciência da Informação pela Universidade de Brasília, Mestre em Ciência da Informação pela
Universidade de Brasília, Graduado em Ciência da Computação. Professor do Programa de Pós-Graduação em
Ciência da Informação – UFPB. Professor Adjunto do Departamento de Ciência da Informação da Universidade
Federal da Paraíba-UFPB.
Recebido - Received : 2014-02-15
Aceitado - Accepted : 2014-09-30
This work is licensed under a Creative Commons Attribution 4.0 United States License.
This journal is published by the University Library System of the University of Pittsburgh as part of its D-Scribe Digital Publishing Program and is cosponsored by the University of Pittsburgh Press.